Questões de Segurança da Informação para Concurso

A structural problem for digital signatures is that everyone has to agree to trust a central authority that knows everything and is trusted by everyone. The most logical candidates for central authority are the government, the banks, the accountants, and the lawyers. Unfortunately, none of these organizations inspire total confidence in all citizens. Hence, it would be nice if signing documents did not require a trusted authority. Fortunately, Public-key cryptography can make an important contribution to the improvement of digital signature security, allowing person A to send a digital signed message to person B without requiring a central authority.

Considering that person A has the private-key D_A and the public-key E_A and person B has the private-key D_B and public-key E_B, choose the alternative that shows the correct sequence of utilization of the keys when person A signs a message M, sends it to B and B checks he signature.

Sobre o algoritmo de criptografia RSA, considere as afirmativas a seguir.

I. A dificuldade no ataque ao RSA consiste em encontrar os fatores primos de um número composto.

II. É baseado em criptografia simétrica.

III. É computacionalmente inviável gerar um par de chaves.

IV. Pode ser utilizado para autenticação do emissor e do receptor.

Assinale a alternativa correta.

A NBR 27001/2006 provê um modelo para especificar e implementar um Sistema de Gestão de Segurança da Informação (SGSI). Ela adota um modelo conhecido como Plan-Do-Check-Act (PDCA), que é aplicado para estruturar todos os processos do SGSI.

Com relação às etapas do modelo PDCA, considere as afirmativas seguir.

I. Do implementa e opera a política, os controles, os processos e os procedimentos do SGSI.

II. Plan avalia e, quando aplicável, mede o desempenho de um processo frente à política, aos objetivos e à experiência prática do SGSI e apresenta os resultados para análise crítica pela direção.

III. Check estabelece a política, os objetivos, os processos e os procedimentos do SGSI relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e os objetivos globais de uma organização.

IV. Act executa as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica feita pela direção e em outras informações pertinentes, para alcançar a melhoria contínua do SGSI.

Assinale a alternativa correta.

O Advanced Encryption Standard (AES) é um padrão de criptografia publicado pelo National Institute of Standards and Technology (NIST) em 2001.

Sobre o AES, assinale a alternativa correta.

Com base na norma NBR 27001/2006, relacione os termos estabelecidos na coluna 1 com as definições na coluna 2 . 

Coluna 1:

(I) Avaliação de Riscos. 

(II) Gestão de Riscos. 

(III) Análise de Riscos.

(IV) Incidente de Segurança da Informação.

(V) Evento de Segurança da Informação. 

Coluna 2:

(A) Evento ou série de eventos de segurança da informação indesejados ou inesperados, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

(B) Ocorrência identificada de um estado de sistema, serviço ou rede, indicando possível violação da política de segurança da informação, ou falha de controles, ou situação previamente desconhecida, que possa ser relevante para a segurança da informação.

(C) Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. 

(D) Uso sistemático de informações para identificar fontes e estimar o risco. 

(E) Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos.

Assinale a alternativa que contém a associação correta. 

A NBR 27001/2006 define requisitos de documentação para o SGSI, a qual deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis e que os resultados registrados sejam reproduzíveis.

Sobre a documentação no SGSI, considere as afirmativas a seguir.

I. Evita a existência de documentos de origem externa.

II. Assegura que as alterações e a situação da revisão atual dos documentos sejam identificadas.

III. Assegura que a distribuição de documentos seja controlada.

IV. Previne o uso não intencional de documentos obsoletos.

Assinale a alternativa correta.

Quanto à Certificação Digital no Brasil, assinale a alternativa incorreta.

Leia o texto abaixo e, em seguida, assinale a alternativa que preenche correta e respectivamente as lacunas.

    Os princípios da ___________¹ abrangem basicamente os seguintes aspectos: o conceito de ___________² garante que a informação é acessível somente por pessoas autorizadas a terem acesso. O conceito de ___________3 garante a preservação da exatidão da informação e dos métodos de processamento. O conceito de ___________4 garante que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário. Toda ação que possa comprometer um desses princípios pode ser tratada como atentado a sua segurança.

    A segurança ___________⁵ tem como objetivo proteger equipamentos e informações contra usuários não autorizados e prevenção de danos por causas naturais, tais como: controle de acesso, biometria, sistemas de alarmes e CFTV. A segurança ___________ ⁶ aplica-se em casos em que um usuário ou processo da rede tenta obter acesso a um objeto que pode ser um arquivo ou outro recurso de rede (estação de trabalho, impressora etc.), sendo assim, um conjunto de medidas e procedimentos adotados com o objetivo de proteger os dados, programas e sistemas contra tentativas de acessos não autorizados, feitas por usuários ou outros programas. 

Analise as seguintes afirmativas sobre segurança física e lógica:

I- A segurança lógica controla o acesso a aplicativos, dados, sistemas operacionais, senhas e arquivos de log por meio de firewalls de hardwares e softwares, criptografia, antivírus e outras aplicações contra hackers e possíveis invasões às fontes internas da empresa.

II- A segurança física trata de métodos para evitar o acesso de pessoas não autorizadas a áreas em que se encontram dados e informações críticas da empresa. Uma forma de fazer isso é implantar recursos de identificação de funcionários, como o uso de crachás, senhas e cadastro de digitais.

Sobre os tipos de backup, avalie as seguintes afirmativas e assinale a alternativa CORRETA:

I- O backup incremental faz uma cópia dos dados alterados desde o último backup incremental.

II- No backup diferencial, os dados copiados são os modificados em relação ao último backup completo.

III- O backup diferencial possui maior facilidade de recuperação em relação ao incremental.

As ameaças que podem atacar um computador são categorizadas em diversos tipos, dependendo por exemplo da intenção daquele software malicioso. Marque a alternativa que indica respectivamente o nome utilizado para referenciar ameaças que realizam sequestro de dados e ameaças que capturam informação inseridas através do teclado de um computador pessoal.

Uma preocupação crescente trazida pela massificação do uso de serviços via Internet é a segurança. Para garantir que informações privadas não sejam acessadas indevidamente foram desenvolvidos ao longo dos tempos diversos recursos que visam garantir a autenticação de acesso aos dados. Sobre estas opções de autenticação, analise as opções abaixo e marque a alternativa correta.

1. Uso de senhas para controlar acesso é uma das formas de autenticação mais comuns.

2. Os tokens são dispositivos capazes de gerar senhas através de um algoritmo público. Essas senhas possuem prazo de validade, com isso garantimos um nível de segurança adicional no processo de autenticação.

3. No Brasil a exigência de uso de certificados digitais é comum quando pessoas jurídicas precisam transmitir informações para serviços de entes governamentais.

O gerenciamento de backup é uma das atividades mais importantes para garantir a segurança dos dados e demanda o conhecimento de diversas tecnologias e políticas para a sua correta execução. A respeito dos conceitos de backup, analise as opções abaixo e marque a alternativa correta.

1. Em termos de mídia, o uso de unidades de fita magnética ainda é uma boa opção, em termos de custo benefício, para empresas que precisam gravar grandes volumes de dados em suas rotinas de backup.

2. Existem diversos tipos de backup, todos estes tipos garantem a correta cópia das informações. Entretanto existem vantagens e desvantagens significativas entre estes tipos, principalmente em termos de velocidade de execução e recuperação, bem como volume de armazenamento.

3. O Backup Incremental armazena mais dados do que o Diferencial mas tem a vantagem de ser capaz de recuperar dados com mais facilidade do que o Backup Diferencial.

A segurança da informação considera alguns atributos básicos como: confidencialidade, integridade, disponibilidade, autenticidade e irretratabilidade. O mecanismo de segurança da informação que tem o objetivo de garantir a confidencialidade é

Uma VPN pode ser implementada atualmente utilizando diferentes protocolos e serviços de comunicação em rede. Para escolher o tipo de VPN a ser implantada para a comunicação segura dos cidadãos ao servidor da SEGEP, o Analista deve considerar que a VPN baseada em

Em uma situação hipotética, o Programador de Sistemas implementou uma política de backup para a Secretaria de Estado da Gestão, Patrimônio e Assistência dos Servidores − SEGEP que possui as seguintes características:

− requer menos espaço de armazenamento;

− requer menos tempo para realizar o backup;

− copia os dados que foram modificados desde o último backup de qualquer tipo.

O tipo de backup escolhido pelo Programador na política de backup é

Um ponto muito importante na segurança de sistemas operacionais em servidores é o Firewall. Analise as seguintes assertivas sobre esse recurso de segurança e assinale a alternativa que aponta as corretas.

I. Firewall é muito importante para controlar os pacotes de acesso em redes e muito útil na colisão de pacotes.

II. Firewall são ferramentas que fazem parte da maioria dos sistemas operacionais para servidores modernos, pois é uma importante forma de proteção.

III. Firewall usam regras de segurança para impedir que pacotes de dados que possam apresentar problemas não sejam acessados.

IV. Chamado muitas vezes de guardião nas redes de computadores, é comum instalarem o firewall em computadores específicos para filtrar o trânsito de dados entre PCs e ambientes hostis.

Assinale a alternativa que apresenta o Algoritmo de Hashing descrito a seguir:

“Pode processar mensagens de menos de 264 bits de tamanho e produz uma mensagem de 160bits”.

Considerando as características da SSL, assinale a alternativa correta.

A destruição de um sistema de arquivos, muitas vezes, é um desastre maior que a destruição de um computador. Se um computador foi danificado por alguma ação externa, é algo que pode ser resolvido apenas com a troca de alguns componentes que demandarão um custo meramente financeiro. Já para um sistema de arquivos de um computador que estiver irrecuperavelmente perdido, a restauração demandará tempo e, em muitos casos, se mostrará impossível. Sobre cópia de segurança do sistema de arquivos, é correto afirmar que